Den Amerikanske Finansielle Tilsynsmyndighed Rapporterer Cyberangreb, der Afslører Sensitiv Email Data

Det amerikanske finansministeriums Office of the Comptroller of the Currency (OCC) offentliggjorde tirsdag, at et cyberangreb i februar udsatte følsomme data relateret til finansielle enheder. Hændelsen, der involverede uautoriseret adgang til email-konti tilhørende OCC-ledere og personale, er blevet afhjulpet, og den finansielle regulator har frigivet yderligere detaljer om sårbarheden.

I en officiel meddelelse, forklarede OCC—agenturet, der overvåger og regulerer banker i landet—at det, som krævet af Federal Information Security Modernization Act, har rapporteret en “stor informationssikkerhedshændelse” til Kongressen.

OCC forklarede, at det den 11. februar blev opmærksom på uautoriseret adgang fra e-mails og e-mail-vedhæftninger og, efter at have bekræftet uautoriserede interaktioner den 12. februar, straks aktiverede sikkerhedsprotokoller, deaktiverede de kompromitterede konti og afsluttede den uautoriserede adgang.

Undersøgelsen, der blev gennemført af OCC og uafhængige tredjeparts cybersikkerhedseksperter, afslørede, at ondsindede aktører fik adgang til medarbejderes og ledelsesmedlemmers e-mails med “meget følsomme oplysninger om den finansielle situation for føderalt regulerede finansielle institutioner.”

Agenturet rapporterede først hændelsen med e-mail systemet den 26. februar til Cybersecurity and Infrastructure Security Agency, og understregede, at det ikke havde nogen indvirkning på finanssektoren. Truslen er blevet afværget, men evalueringer og opdateringer er stadig i gang.

“Jeg har taget øjeblikkelige skridt for at afgøre omfanget af bruddet og for at afhjælpe de langvarige organisatoriske og strukturelle mangler, der bidrog til denne hændelse,” sagde fungerende valutakontrollør Rodney E. Hood. “Der vil være fuld ansvarlighed for de identificerede sårbarheder og eventuelle oversete interne fund, der førte til den uautoriserede adgang.”

OCC er i øjeblikket ved at analysere sine IT-sikkerhedspolitikker og procedurer og leder efter alternativer for at forhindre lignende hændelser og forbedre sikkerheden.

Flere cyberangreb rettet mod e-mail brugere og systemer er blevet rapporteret i denne måned. For få dage siden afslørede cybersikkerhedsfirmaet Symantec en phishing-kampagne der bruger falske fragt e-mails og en forklædt screensaver fil, og ASEC identificerede endnu et cyberangreb målrettet jobsøgende.